

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Pré-requisito — Criando um endpoint da Amazon VPC manualmente
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

Antes de instalar o agente de GuardDuty segurança, você deve criar um endpoint da Amazon Virtual Private Cloud (Amazon VPC). Isso ajudará a GuardDuty receber os eventos de tempo de execução de suas instâncias do Amazon EC2.

**nota**  
Não há custo adicional para usar o endpoint da VPC.

**Para criar um endpoint da VPC do Amazon**

1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. No painel de navegação, em **Nuvem privada VPC**, escolha **Endpoints**.

1. Escolha **Criar endpoint**.

1. Na página **Criar endpoint**, para a **Categoria de serviço**, escolha **Outros serviços de endpoint**.

1. Em **Nome do serviço**, digite **com.amazonaws.{{us-east-1}}.guardduty-data**.

   Certifique-se de substituir {{us-east-1}} por seu Região da AWS. Essa deve ser a mesma região da instância do Amazon EC2 que pertence ao ID da sua AWS conta.

1. Selecione **Verificar serviço**.

1. Depois que o nome do serviço for verificado com sucesso, escolha a **VPC** em que reside sua instância. Adicione a política a seguir para restringir o uso do endpoint da Amazon VPC somente à conta especificada. Com a `Condition` da organização fornecida abaixo desta política, você pode atualizar a política a seguir para restringir o acesso ao seu endpoint. Para fornecer suporte de endpoint da Amazon VPC para IDs de conta específicos em sua organização, consulte [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint).

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "{{111122223333}}" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   O ID de conta `aws:PrincipalAccount` deve corresponder à conta que contém a VPC e o endpoint da VPC. A lista a seguir mostra como compartilhar o VPC endpoint com outros AWS IDs de conta:<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + Para especificar várias contas para acessar o endpoint da VPC, substitua `"aws:PrincipalAccount: "{{111122223333}}"` pelo seguinte bloco:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     Certifique-se de substituir os AWS IDs da conta pelos IDs das contas que precisam acessar o VPC endpoint.
   + Para permitir que todos os membros de uma organização acessem o endpoint da VPC, substitua `"aws:PrincipalAccount: "{{111122223333}}"` pela seguinte linha:

     ```
     "aws:PrincipalOrgID": "{{o-abcdef0123}}"
     ```

     Certifique-se de substituir a organização {{o-abcdef0123}} pelo ID da organização.
   + Para restringir o acesso para um recurso a um ID de organização, adicione seu `ResourceOrgID` à política. Para obter mais informações, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) no *Guia do usuário do IAM*.

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Em **Configurações adicionais**, selecione **Habilitar nome DNS**.

1. Em **Sub-redes**, escolha as sub-redes em que reside sua instância.

1. Em **Grupos de segurança**, escolha um grupo de segurança que tenha a porta de entrada 443 habilitada em sua VPC (ou em sua instância do Amazon EC2). Se você ainda não tem um grupo de segurança que tenha uma porta de entrada 443 habilitada, consulte [Criar um grupo de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) no *Guia do usuário da Amazon VPC*.

   Se houver um problema ao restringir as permissões de entrada para sua VPC (ou instância), é possível usar a porta de entrada 443 de qualquer endereço IP `(0.0.0.0/0)`. No entanto, GuardDuty recomenda o uso de endereços IP que correspondam ao bloco CIDR da sua VPC. Para obter mais informações, consulte [Blocos VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) no *Guia do usuário da Amazon VPC*.

Depois de seguir as etapas, verifique em [Validando a configuração do endpoint da VPC](validate-vpc-endpoint-config-runtime-monitoring.md) se o endpoint da VPC foi configurado corretamente.